.jpg)
퇴사자 ‘인증키’ 하나에 뚫린 보안... 5개월간 3370만 명 무방비 노출
비밀번호·결제 정보 제외됐지만, 2차 피해 우려 여전
1조 6000억원 보상에 “정보 팔아 장사하나” 비판... 추락한 1위 플랫폼
[보안뉴스 조재호 기자] 올해 대한민국은 ‘해킹의 해’라 해도 과언이 아닐 만큼 대형 해킹 사고가 줄줄이 터졌다. 이 중에서 3370만 명이라는, 사실상 모든 이용자의 개인정보가 유출된 쿠팡 해킹 사고는 단연 역대급이었다.
단순한 유출 사고는 아니었다. 내부 통제 실패를 시작으로 보안 시스템 무력화, 축소 은폐 의혹, 무성의한 보상안까지, 이번 사태는 ‘혁신’이라는 이름 뒤에 숨어있던 플랫폼 기업의 민낯을 적나라하게 드러냈다. 6월 한 퇴사자로부터 시작해 연말을 강타한 쿠팡 해킹 사태의 전말을 되짚어본다.
[자료: 연합뉴스]
사건의 시작: 회수되지 않은 ‘인증키’
사건의 발단은 지난 6월이다. 쿠팡에서 근무하던 중국 국적 개발자 A씨가 퇴사하는 과정에서 발생한 인적 자원 관리의 허점이 화근이었다. A씨는 재직 당시 쿠팡 시스템 접근 권한이 담긴 ‘인증키’를 보유하고 있었는데, 사측은 퇴사 처리를 하면서 이 인증키를 회수하거나 폐기하는 절차를 거치지 않았다.
보안 전문가들은 “접근 권한 관리와 퇴사자 보안 프로세스가 작동하지 않았다는 점이 충격적”이라며 “국내 최대 이커머스 기업이 기초적 보안 원칙조차 준수하지 않았다”고 지적했다.
5개월 동안 울리지 않았던 경보
6월 24일 첫 비인가 접근을 시작으로 11월 18일까지 5개월간 A씨는 쿠팡 시스템에 수시로 접속했다. 하지만 쿠팡은 외부 접근을 전혀 인지하지 못했다. 11월 20일 쿠팡은 공지를 통해 약 4500명의 개인정보 유출을 확인했다고 1차 발표했다. 당시 공개된 유출 항목은 이름과 연락처, 배송 관련 정보 등이었으며, 비밀번호나 결제 정보 등 금융 정보는 포함되지 않았다고 밝혔다.
쿠팡의 이상금융거래탐지시스템(FDS)은 작동하지 않았다. 일반적 보안 시스템이라면 특정 IP나 계정에서 비정상적 규모의 데이터 조회가 발생했을 때 이를 차단하거나 경고를 보낸다. 사실상 정보 유출을 5개월간 방치한 셈이다.
3370만 건 유출, 활성 고객 수 웃돈 역대급 사고
정부 추가 조사가 이어지면서 피해 범위는 눈덩이처럼 불어났다. 쿠팡은 “11월 29일 후속 조사 결과, 3370만 건의 정보가 무단으로 노출된 것으로 확인했다”고 정정했다. 이는 3분기 쿠팡 구매 이력이 있는 활성 고객 2470만 명을 웃도는 수치이자, 과거 SK텔레콤의 2324만명 유출 사례를 넘어서는 대한민국 역대 최대 규모다.
쿠팡의 미온적 대처도 도마에 올랐다. ‘유출’을 ‘노출’로 표현해 축소하려 했다는 의혹, 청문회를 앞두고 전격 사임한 박대준 전 대표, 한국어가 서툰 해럴드 로저스 신임 대표의 행보 등이 대표적이다. 쿠팡 유출 사고를 틈탄 보이스피싱, 스미싱 피해 사례도 확인됐다.
이 과정에서 정부의 제재 수위를 낮추기 위해 로비를 시도했다는 의혹까지 제기되며 논란을 키웠다. 국회는 30-31일 양일간 연석 청문회를 열고 전방위적 압박을 예고한 상태다.
진정성 없는 기업 공식 입장, 혼란만 더해
해킹 사태 내내 당사자인 쿠팡의 입장은 불투명했다. 초기 공지부터 사고 경위에 대한 구체적 설명이 빠져 있었다. ‘유출’을 ‘노출’이라 안내해 정부가 수정을 지시했고, 대표 교체나 청문회 준비 과정에서도 모호한 태도로 일관했다.
입장문 발표 시점도 의구심을 자아냈다. 쿠팡의 공식 입장이나 관련 소식은 주로 휴일 혹은 주말을 틈타 기습 발표됐다. 평일 늦은 오후나 퇴근 시간이 임박한 시점을 골라 발표하는 행태는 여론의 주목을 피하려는 꼼수라는 비판을 받았다.
크리스마스 전후로 발표된 기업 자체 조사 결과를 두고 정부와 진실 공방을 벌인 점도 논란이었다. 민관합동조사단 발표에 앞서 소식을 공유하는 이례적 행보였다. 유출된 정보를 확보해 삭제했고, 외부 유출은 없었다는 주장은 혼란만 가중시켰다. 실제로 쿠팡은 유출자 접촉 경위나 포렌식 과정 등 추가 질의에 대해 명확한 답변을 내놓지 못했다.
28과 29일, 쿠팡은 김범석 의장 사과문과 피해자 보상안을 연이어 내놨다. 사과문엔 고객 정보를 100% 회수 완료했다는 문구가 포함됐으나, 복제된 데이터의 완전 회수가 가능한지 전문가들의 의문이 제기된다.
피해 보상안 역시 1인당 5만 원 상당, 총 1조 6850억 원 규모로 역대 최고액이라지만, 현금이나 포인트가 아닌 자사 서비스 이용권을 쪼개서 지급하는 방식이다. 실질적 피해 구제보다 보상을 미끼로 한 ‘마케팅 꼼수’라는 비판이 나오는 이유다.
장기화될 법적 분쟁, ‘쿠팡 해킹 사태’가 남긴 과제
쿠팡 해킹 사태는 해를 넘겨 계속될 전망이다. 당장 30, 31일 진행될 청문회를 시작으로 내년 1월 15일부터 보상 지급이 시작되면서 새로운 국면을 맞을 것으로 보인다. 집단 소송과 시민단체 고발도 이어지고 있어 법적 공방 또한 장기화될 전망이다.
15일 진행된 여론조사에 따르면, 이번 유출 사태에 대한 강제조사권 도입에 국민 10명 중 7명이 찬성하는 것으로 나타났다. 이번 사태는 대한민국 IT 역사상 가장 비싼 보안 수업료를 치른 사건으로 기록될 것이다.
[조재호 기자(sw@boannews.com)]
비밀번호·결제 정보 제외됐지만, 2차 피해 우려 여전
1조 6000억원 보상에 “정보 팔아 장사하나” 비판... 추락한 1위 플랫폼
[보안뉴스 조재호 기자] 올해 대한민국은 ‘해킹의 해’라 해도 과언이 아닐 만큼 대형 해킹 사고가 줄줄이 터졌다. 이 중에서 3370만 명이라는, 사실상 모든 이용자의 개인정보가 유출된 쿠팡 해킹 사고는 단연 역대급이었다.
단순한 유출 사고는 아니었다. 내부 통제 실패를 시작으로 보안 시스템 무력화, 축소 은폐 의혹, 무성의한 보상안까지, 이번 사태는 ‘혁신’이라는 이름 뒤에 숨어있던 플랫폼 기업의 민낯을 적나라하게 드러냈다. 6월 한 퇴사자로부터 시작해 연말을 강타한 쿠팡 해킹 사태의 전말을 되짚어본다.
[자료: 연합뉴스]
사건의 시작: 회수되지 않은 ‘인증키’
사건의 발단은 지난 6월이다. 쿠팡에서 근무하던 중국 국적 개발자 A씨가 퇴사하는 과정에서 발생한 인적 자원 관리의 허점이 화근이었다. A씨는 재직 당시 쿠팡 시스템 접근 권한이 담긴 ‘인증키’를 보유하고 있었는데, 사측은 퇴사 처리를 하면서 이 인증키를 회수하거나 폐기하는 절차를 거치지 않았다.
보안 전문가들은 “접근 권한 관리와 퇴사자 보안 프로세스가 작동하지 않았다는 점이 충격적”이라며 “국내 최대 이커머스 기업이 기초적 보안 원칙조차 준수하지 않았다”고 지적했다.
5개월 동안 울리지 않았던 경보
6월 24일 첫 비인가 접근을 시작으로 11월 18일까지 5개월간 A씨는 쿠팡 시스템에 수시로 접속했다. 하지만 쿠팡은 외부 접근을 전혀 인지하지 못했다. 11월 20일 쿠팡은 공지를 통해 약 4500명의 개인정보 유출을 확인했다고 1차 발표했다. 당시 공개된 유출 항목은 이름과 연락처, 배송 관련 정보 등이었으며, 비밀번호나 결제 정보 등 금융 정보는 포함되지 않았다고 밝혔다.
쿠팡의 이상금융거래탐지시스템(FDS)은 작동하지 않았다. 일반적 보안 시스템이라면 특정 IP나 계정에서 비정상적 규모의 데이터 조회가 발생했을 때 이를 차단하거나 경고를 보낸다. 사실상 정보 유출을 5개월간 방치한 셈이다.
3370만 건 유출, 활성 고객 수 웃돈 역대급 사고
정부 추가 조사가 이어지면서 피해 범위는 눈덩이처럼 불어났다. 쿠팡은 “11월 29일 후속 조사 결과, 3370만 건의 정보가 무단으로 노출된 것으로 확인했다”고 정정했다. 이는 3분기 쿠팡 구매 이력이 있는 활성 고객 2470만 명을 웃도는 수치이자, 과거 SK텔레콤의 2324만명 유출 사례를 넘어서는 대한민국 역대 최대 규모다.
쿠팡의 미온적 대처도 도마에 올랐다. ‘유출’을 ‘노출’로 표현해 축소하려 했다는 의혹, 청문회를 앞두고 전격 사임한 박대준 전 대표, 한국어가 서툰 해럴드 로저스 신임 대표의 행보 등이 대표적이다. 쿠팡 유출 사고를 틈탄 보이스피싱, 스미싱 피해 사례도 확인됐다.
이 과정에서 정부의 제재 수위를 낮추기 위해 로비를 시도했다는 의혹까지 제기되며 논란을 키웠다. 국회는 30-31일 양일간 연석 청문회를 열고 전방위적 압박을 예고한 상태다.
진정성 없는 기업 공식 입장, 혼란만 더해
해킹 사태 내내 당사자인 쿠팡의 입장은 불투명했다. 초기 공지부터 사고 경위에 대한 구체적 설명이 빠져 있었다. ‘유출’을 ‘노출’이라 안내해 정부가 수정을 지시했고, 대표 교체나 청문회 준비 과정에서도 모호한 태도로 일관했다.
입장문 발표 시점도 의구심을 자아냈다. 쿠팡의 공식 입장이나 관련 소식은 주로 휴일 혹은 주말을 틈타 기습 발표됐다. 평일 늦은 오후나 퇴근 시간이 임박한 시점을 골라 발표하는 행태는 여론의 주목을 피하려는 꼼수라는 비판을 받았다.
크리스마스 전후로 발표된 기업 자체 조사 결과를 두고 정부와 진실 공방을 벌인 점도 논란이었다. 민관합동조사단 발표에 앞서 소식을 공유하는 이례적 행보였다. 유출된 정보를 확보해 삭제했고, 외부 유출은 없었다는 주장은 혼란만 가중시켰다. 실제로 쿠팡은 유출자 접촉 경위나 포렌식 과정 등 추가 질의에 대해 명확한 답변을 내놓지 못했다.
28과 29일, 쿠팡은 김범석 의장 사과문과 피해자 보상안을 연이어 내놨다. 사과문엔 고객 정보를 100% 회수 완료했다는 문구가 포함됐으나, 복제된 데이터의 완전 회수가 가능한지 전문가들의 의문이 제기된다.
피해 보상안 역시 1인당 5만 원 상당, 총 1조 6850억 원 규모로 역대 최고액이라지만, 현금이나 포인트가 아닌 자사 서비스 이용권을 쪼개서 지급하는 방식이다. 실질적 피해 구제보다 보상을 미끼로 한 ‘마케팅 꼼수’라는 비판이 나오는 이유다.
장기화될 법적 분쟁, ‘쿠팡 해킹 사태’가 남긴 과제
쿠팡 해킹 사태는 해를 넘겨 계속될 전망이다. 당장 30, 31일 진행될 청문회를 시작으로 내년 1월 15일부터 보상 지급이 시작되면서 새로운 국면을 맞을 것으로 보인다. 집단 소송과 시민단체 고발도 이어지고 있어 법적 공방 또한 장기화될 전망이다.
15일 진행된 여론조사에 따르면, 이번 유출 사태에 대한 강제조사권 도입에 국민 10명 중 7명이 찬성하는 것으로 나타났다. 이번 사태는 대한민국 IT 역사상 가장 비싼 보안 수업료를 치른 사건으로 기록될 것이다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
